Slide Aula 1

Prévia do material em texto

Sistemas Operacionais 
Open Source V 
 
Prof. Ricardo Mercês 
ricardo.merces@prof.infnet.edu.br 
Objetivos 
O módulo (Sistemas Operacionais Open Source 
V) tem como objetivo dar continuidade ao 
processo de capacitação para que o administrador 
do sistema possa utilizar, adaptar e administrar um 
Sistema Linux. 
Avaliações 
Critério de composição das notas: 
 
AV1 = PI + Fórum (30%) 
AV2 = Avaliação realizada na aula 9 (70%) 
 
CP (conceito preliminar) = AV1 + AV2 
 
Caso o CP >=60 , o aluno é aprovado 
Caso o CP <60, o aluno deverá realizar a prova final* 
 
Caso haja um teste o mesmo será realizado na aula 5 e 
será computado como ponto extra. 
Frequencia 
 O aluno que não obtiver a freqüência mínima de 
75% das aulas de cada módulo ficará reprovado 
naquele módulo, ficando obrigado a assisti-lo 
novamente em turma que disponha de vagas. Em 
particular, como os módulos serão ministrados ao 
longo de 11 aulas, o aluno deve ter em mente 
que ter mais de 3 (três) faltas em um módulo 
significará a sua reprovação por falta. 
 
Fonte: Manual do aluno Infnet 
Tópicos 
•  Controle de acesso 
–  TCP_Wrappers 
–  IPTABLES 
•  Protegendo dados: 
–  Conceitos em criptografia 
–  O serviço OpenSSH 
–  Utilitários para criptografia 
•  DNS 
–  Bind 
 
Aula 1 
Controle de acesso - TCP_wrapper 
 
TCP Wrappers e Xinetd 
 Controlar o acesso aos serviços de rede é uma das tarefas 
de segurança mais importantes para um administrador de 
servidor. O Linux fornece diversas ferramentas para este 
propósito. Por exemplo, um firewall baseado em iptables filtra 
pacotes de rede indesejados. Para os serviços suportados o s 
TCP Wrappers adicionam uma camada a mais de proteção 
definindo quais hosts ou serviços poderão ou não ser 
acessados. 
 Um tipo de serviço de rede wrapped é o xinetd super server. 
O serviço é chamado super server porque ele controla 
conexões de um subconjunto de serviços de rede (serviços 
legados). 
Camadas de Proteção 
Serviços gerenciados pelo xinetd 
•  Os serviços básicos de internet são gerenciados 
pelo xinetd 
•  Conhecido também como Super Server substitui o 
antigo inetd 
•  Arquivos de configuração: /etc/xinetd.conf, /
etc/xinetd.d/serviço 
•  Linkado com a libwrap.so 
•  Serviços controlados através do chkconfig: 
•  chkconfig lftp on 
Configuração principal do xinetd 
# /etc/xinetd.conf 
defaults 
{ 
 enabled = yes 
 instances = 50 
 per_source = 10 
 v6only = no 
 log_type = SYSLOG daemon info 
 log_on_failure = HOST 
 log_on_success = PID HOST DURATION EXIT 
 cps = 50 10 
 banner = /some/file 
} 
includedir /etc/xinetd.d 
/etc/xinetd.d/serviço 
Configuração específica para cada serviço 
 
#serviço tftp 
 
{ 
 disable = yes 
 socket_type = dgram 
 protocol = udp 
 wait = yes 
 user = root 
 server = /usr/sbin/in.tftpd 
 server_args = -c -s /tftpboot 
 per_source = 11 
 cps = 100 2 
 flags = IPv4 
} 
Controles de acesso xinetd 
•  Sintaxe 
•  only_from 
•  no_access 
 
•  Exemplo: 
•  only_from = 192.168.0.0/24 
•  no_access = 192.168.0.1 
Controlando acesso de hosts 
•  Equipamentos podem ser identificados na 
configuração através de: 
•  Endereço numérico (192.168.0.10) 
•  Nome de rede (/etc/networks) 
•  Hostname ou domínio (.infnet.edu.br) 
•  Endereço IP/máscara (192.168.0.0/24) 
 
•  Número de conexões simultâneas 
•  Sintaxe: per_source = 2 
•  Não pode exceder número máximo de instâncias 
TCP Wrappers 
•  Configuração específica dos serviços 
•  Daemons como httpd, smbd, squid, etc. provêem 
mecanismos de segurança específicos 
 
•  Configuração geral (tcp_wrappers) 
•  Todos os programas ligados à libwrap.so usam 
uma configuração comum 
•  Como o xinetd é ligado à libwrap, seus serviços 
são afetados 
•  Permite testes por host e/ou nome de usuário 
remoto 
Configuração do tcp_wrappers 
•  Três estágios de checagem 
•  O acesso é explicitamente permitido? 
•  Se não, o acesso é explicitamente negado? 
•  Se não, por padrão, permita o acesso! 
 
•  Configuração armazenada em dois arquivos: 
•  Liberações em /etc/hosts.allow 
•  Proibições em /etc/hosts.deny 
 
•  Sintaxe básica: 
•  serviço: lista_de_clientes [:opções] 
Especificação de daemons 
•  Nome do daemon: 
•  Aplicações passam o nome de seus executáveis 
•  Múltiplos serviços podem ser especificados 
•  Use o curinga ALL para associar todos os daemons 
•  Limitações existem para alguns serviços 
 
•  Sintaxe avançada: 
•  daemon@host: lista_de_clientes ... 
Especificação de clientes 
•  Por endereço IP (192.168.0.1) 
 
•  Por nome (www.centos.org, example.com) 
 
•  Por rede (10.0.0.) 
 
•  Por máscara de rede 
(172.31.8.0/255.255.255.0) 
 
 
Macros pré-definidas 
•  Macros para nomes de hosts 
•  LOCAL 
•  KNOWN, UNKNOWN, PARANOID 
 
•  Macro para hosts e serviços 
•  ALL 
 
•  EXCEPT 
•  Pode ser usada para hosts e serviços 
•  Pode ser combinada 
Opções estendidas (1) 
•  Sintaxe: 
•  serviço: lista_hosts [:opç1 :opç2 ...] 
 
•  spawn 
•  Pode ser usada para iniciar programas adicionais 
•  Expansões especiais disponíveis 
•  Exemplo: (leia como uma só linha) 
 
in.telnetd: ALL : spawn echo “Tent. login %c - %s” | 
mail –s ALERTA root 
Opções estendidas (2) 
•  DENY 
•  Pode ser usada como uma opção em 
hosts.allow 
•  Exemplo: 
 
ALL: ALL: DENY 
Exemplo de configuração 
# /etc/hosts.allow 
vsftpd: 192.168.0. 
in.telnetd, portmap: 192.168.0.8 
 
# /etc/hosts.deny 
ALL: .cracker.org EXCEPT trusted.cracker.org 
vsftpd, portmap: ALL 
sshd: 192.168.0. EXCEPT 192.168.0.4 
LABS